9月新规来了！这些新规将引发网络安全行业大变革

2021年6月份以来，国家各部委与地方政府密切发布网络安全产业相关政策，网络安全从业者们发现，网络安全行业迎来了关键且重要的一年。

• 6月10日，《数据安全法》 正式通过，将于2021年9月1日起施行；

• 7月5日，浙江省地方标准发布《数字化改革公共数据分类分级指南》，8月5日起正式实施；

• 7月7日，《深圳经济特区数据条例》正式公布，将于2022年1月1日起施行；

• 7月10日，网信办发布《网络安全审查办法（修订草案征求意见稿）》；

• 7月12日，工信部发布《网络安全产业高质量发展三年行动计划（2021-2023年）（征求意见稿）》，明确了产业发展具体目标；

• 7月13日，工信部、网信办、公安部发布《网络产品安全漏洞管理规定》，9月1日起正式施行；

• 8月17日,国务院总理李克强签署国务院令,公布《关键信息基础设施安全保护条例》,自2021年9月1日起施行；

• ……

众所周知，每一部法律的出台，每一个规则的变动，都将会引发一轮行业的大变革，并催生出一批新的商业机会。

随着9月1日的临近，《数据安全法》、《关键信息基础设施安全保护条例》、《网络产品安全漏洞管理规定》三部对网络安全行业意义深远的政策法规即将正式实施，在政策驱动下，网络安全行业将会迎来哪些新机遇和新变革？

全国首部数据安全相关专门法律即将施行

数据安全行业迎来发展的春天

2021年6月10日，经过十三届全国人大常委会第二十九次会议通过的《数据安全法》对外公布，将于2021年9月1日起施行。这是我国第一部有关数据安全的专门法律。《数据安全法》生效之后，将与《网络安全法》及正在立法进程中的《个人信息保护法》一起，全面构筑中国信息及数据安全领域的法律框架。

作为我国首部与数据安全相关的法律，《数据安全法》的出台标志着我国在数据安全领域的法律空白得以有效填补，我国各行业的数据安全建设工作及监管工作将进入有法可循、有法可依的新时代。

《数据安全法》明确提出了以坚持数据开发利用和产业发展来促进数据安全的工作方向，在深化数据安全体制改革与建设、强化数据安全监管制约、深度覆盖全场景的数据安全评估与防护等方面都提出了具体要求。同时对于政务数据开放共享中的安全机制建设问题以及对于违法犯罪的惩处力度等问题都作出了进一步的强调。

《数据安全法》不但对数据安全主管机构的监管职责进行了明确，而且对数据安全协同治理体系的建立与健全起到了积极的促进作用。该法对数据保护范围进行了必要的扩展，有效提升了国家在数据安全方面的保障能力，进而也将使数据在开发、利用、出境以及自由流动等环节中的安全性得到明显加强，从而切实提高数据利用的价值，同时其也必将为数字经济的发展与创新注入新的源动力。

在《数据安全法》实施后，企业肩上的数据安全责任陡然剧增，数据安全将成为企业业务发展的原生需求，倒逼企业在网络安全建设方面加大投入，以规避因安全风险造成的损失。因此，在政策驱动下，数据安全领域内会催生出大量的机会。业内人士预测，未来自动化的数据合规软件可能会像企业财务软件一样，迅速发展出很大的需求，从而成为一个风口。

虽然《数据安全法》的实施本身只是一个事件，但这个事件之后，又会激发出更多技术、商业和法律的变革。一石激起千层浪，或许整个数据产业和市场都会迎来一个全新的时代，数据安全行业发展的春天即将到来。

对关键信息基础设施实行重点保护 

大批安全需求即将释放

关键信息基础设施是经济社会运行的神经中枢，涵盖各大重要行业和领域,以及大数据、大型公共信息网络服务等重点单位，保护关键信息基础设施,数据安全是重中之重。2021年8月17日，国务院总理李克强签署国务院令，公布《关键信息基础设施安全保护条例》（以下简称《条例》），自2021年9月1日起施行。

《条例》明确，重点行业和领域重要网络设施、信息系统属于关键信息基础设施，国家对关键信息基础设施实行重点保护，采取措施，监测、防御、处置来源于境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治违法犯罪活动。

较之传统的互联网、云计算、AI、物联网等领域，《条例》则更着眼于大数据相关的重点行业网络,以及涵盖政府、工业、交通、金融、医疗等与国计民生密切相关的重点行业，覆盖新型智慧城市建设所涉及的数字政府、数字社会、数字经济等各大领域。

《条例》的发布，促进了网络安全在信息化建设中话语权和地位的不断提升，未来网络安全产业发展空前提速。条例的发布必然带来关键信息基础设施安全保护领域后续一系列动作反应，包括保护对象认定体系化完善、配套政策和标准发布、关键信息基础设施运营者的“人财物”的投入加大、专业性技术人才的培养与培训、关键信息基础设施安全保护技术创新力度的增强等。

《条例》第十五条明确规定运营者必须成立专门安全管理机构，负责本单位关键信息基础设施安全保护工作。专门安全管理机构的设立，首先带来网络安全专业技术人才的需求缺口，必然促进网络安全人才培养和安全培训产业的大力发展。其次，机构运行和开展关键信息基础设施安全保护工作，必然带来大量项目经费的投入，促进网络安全产品和服务的发展。

此外，专门安全管理机构的设立有效地提升了网络安全在信息化中的地位，明确要求运营者开展网络安全和信息化有关的决策应当由专门安全管理机构人员参与，是“同步规划、同步建设、同步使用”的三同步原则的落地细则。可见，随着关键信息基础设施安全保护工作逐步推进，必将推动网络安全产业的蓬勃发展。

网络安全漏洞生命周期管理进一步规范

利好漏洞运营平台和众测服务平台型企业

7月12日，工业和信息化部、国家互联网信息办公室、公安部近日印发《网络产品安全漏洞管理规定》(以下简称《规定》)。《规定》自2021年9月1日起施行。

在供应链安全威胁日益严重的全球形势下，《规定》对于维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行，具有重大意义。《规定》释放了一个重要信号：我国将首次以产品视角来管理漏洞，通过对网络产品漏洞的收集、研判、追踪、溯源，立足于供应链全链条，对网络产品进行全周期的漏洞风险跟踪，实现对我国各行各业网络安全的有效防护。

《规定》明确了遵守对象，即中华人民共和国境内的网络产品（含硬件、软件）提供者和网络运营者，以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人，应当遵守本规定。同时，对各主体、相关部门的职责给出了清晰划分。

《规定》明确了产品安全漏洞的发现、修补、管理流程，发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。同时《规定》明确指出，应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。

《规定》第十条指出，任何组织或者个人设立的网络产品安全漏洞收集平台，应当向工业和信息化部备案。同时在第六条中指出，鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞，还“鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制，对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。”这两条规定规范了漏洞收集平台和白帽子的行为，有利于让白帽子在合法合规的条件下发挥更大的社会价值。

此外，《规定》特别强调，“从事网络产品安全漏洞发现、收集的组织或者个人，不得刻意夸大网络产品安全漏洞的危害和风险，不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动；不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。”

《网络产品安全漏洞管理规定》的出台压实了各方的责任与义务，为网络产品提供者，网络运营者，从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人指明了合规方向，同时界定了相关政府部门的监管职责。此外，通过对违规行为的界定以及处罚的明确，帮助进一步规范安全漏洞管理的生命周期。

随着《规定》的正式施行，网络安全行业将迎来更清晰的规范体系，而漏洞收集平台和白帽子也将在承担更大的社会责任的同时，发挥出更大的社会价值。当前大背景下，《规定》的施行无疑将会为从事漏洞运营平台和众测服务平台型安全企业产生积极的影响。

THE END

// 推荐阅读